¿Qué es Phishing? Taxonomía Completa: Email, Spear, Whaling, Vishing, Smishing y Quishing
Guía completa de phishing y sus variantes: email phishing, spear phishing, whaling, vishing, smishing, quishing (QR), pharming y watering hole. Estadísticas 2024-2026, evolución histórica y taxonomía para profesionales de seguridad.
El vector de ataque numero uno sigue siendo humano
Puedes invertir millones en firewalls, EDR y SIEM. Puedes parchear cada CVE en menos de 24 horas. Puedes segmentar tu red con precision quirurgica. Pero basta con que un empleado haga clic en un enlace falso para que todo ese perimetro se desmorone. El phishing no explota vulnerabilidades de software: explota la confianza, la urgencia y la rutina de las personas.
Segun el Verizon Data Breach Investigations Report (DBIR) 2024, el 68% de las brechas confirmadas involucraron un elemento humano: phishing, pretexting o errores. El Anti-Phishing Working Group (APWG) registra mas de 4,7 millones de ataques de phishing solo en 2023, un record historico. Y la tendencia no desacelera. Con la irrupcion de la IA generativa, los atacantes producen campanas mas convincentes, mas personalizadas y mas dificiles de detectar que nunca.
Este articulo establece los fundamentos. Antes de analizar tecnicas de deteccion o diseccionar phishing kits, necesitas un mapa mental claro de que es exactamente el phishing, como ha evolucionado y cuantas variantes existen hoy.
Historia breve: de AOL a la IA generativa
El termino "phishing" aparecio por primera vez a mediados de los 90 en la comunidad de hackers de AOL. La tecnica era simple: enviar mensajes instantaneos haciendose pasar por empleados de AOL para robar credenciales de acceso. El nombre es un juego con "fishing" (pescar) usando "ph" como guino a la tradicion "phreaking" de hacking telefonico.
1995-2000: la era AOL. Los primeros phishers usaban herramientas como AOHell para automatizar el robo de cuentas. Los ataques eran primitivos, sin personalizacion y con errores evidentes.
2001-2005: phishing financiero. El foco se movio a bancos y servicios de pago. En 2003, eBay y PayPal se convirtieron en los objetivos principales. Aparecieron los primeros sitios web clonados con URLs que imitaban las originales (paypa1.com, eba-y.com). El APWG se fundo en 2003 como respuesta directa a esta oleada.
2006-2012: spear phishing y APTs. Los atacantes descubrieron que personalizar los emails multiplicaba la tasa de exito. Operaciones como Aurora (2009) contra Google y RSA SecurID (2011) demostraron que el spear phishing podia penetrar las organizaciones mas protegidas del planeta. Un solo email bien construido comprometio toda la infraestructura de RSA.
2013-2019: industrializacion. Phishing-as-a-Service (PhaaS) convirtio el phishing en un negocio escalable. Kits completos con templates de bancos, paginas de login y paneles de administracion se vendian por 50-200 dolares en foros underground. El BEC (Business Email Compromise) emergio como la variante mas lucrativa: el FBI reporto perdidas de 26.000 millones de dolares entre 2016 y 2019.
2020-2023: pandemia y explosion. El trabajo remoto amplio la superficie de ataque. Los empleados, fuera del perimetro corporativo, eran mas vulnerables. Las campanas tematicas de COVID-19 explotaron el miedo y la urgencia. El vishing (phishing por voz) crecio un 554% segun Agari. El smishing se normalizo con la ubicuidad de los SMS de verificacion.
2024-2026: la era de la IA. Los modelos de lenguaje eliminaron la barrera del idioma y los errores gramaticales que antes delataban los phishing. Herramientas como WormGPT y FraudGPT (LLMs sin restricciones eticas) permiten generar emails convincentes en cualquier idioma. El vishing con deepfake de voz ya ha producido fraudes de mas de 25 millones de dolares en un solo incidente (caso Arup, Hong Kong, 2024). El quishing (QR phishing) explota la confianza ciega en codigos QR, especialmente en restaurantes, parkings y correspondencia postal.
Taxonomia completa: 10 variantes de phishing
No todo phishing es igual. Las variantes se clasifican por dos ejes: el canal de comunicacion y el nivel de targeting.
| Variante | Canal | Targeting | Ejemplo tipico |
|---|---|---|---|
| Email phishing | Masivo | "Su cuenta de Netflix ha sido suspendida" a 500K direcciones | |
| Spear phishing | Dirigido | Email personalizado al CFO con datos reales de la empresa | |
| Whaling | Ejecutivos | Suplantacion del CEO pidiendo transferencia urgente | |
| Clone phishing | Variable | Copia exacta de un email legitimo con enlace modificado | |
| Vishing | Telefono/VoIP | Variable | Llamada del "banco" pidiendo codigos OTP |
| Smishing | SMS/RCS | Masivo | "Correos: su paquete esta retenido, pague 1,99 EUR" |
| Quishing | QR code | Variable | QR en parquimetro que redirige a pagina de pago falsa |
| Pharming | DNS/hosts | Masivo | DNS poisoning que redirige banco.es al servidor del atacante |
| Watering hole | Web | Dirigido (sector) | Comprometer un blog de ciberseguridad que visitan los targets |
| Angler phishing | Redes sociales | Variable | Cuenta falsa de soporte tecnico en X/Twitter que "resuelve" problemas |
Email phishing masivo
La variante clasica y todavia la mas comun por volumen. El atacante envia miles o millones de emails identicos suplantando una marca conocida (banco, servicio de streaming, empresa de paqueteria). El objetivo es capturar un porcentaje pequeno de victimas mediante numeros: si envias 1 millon de emails y el 0,1% cae, son 1.000 credenciales.
Caracteristicas tecnicas:
- Spoofing de remitente. Manipulacion de los headers SMTP (From, Reply-To, Return-Path) para mostrar una direccion de correo que parece legitima. Sin SPF, DKIM y DMARC correctamente configurados, el email pasa los filtros.
- Dominios typosquatting. Registro de dominios similares al original: micros0ft.com, g00gle.com, paypa1.com. Variantes con homoglifos Unicode (rn parece m) son especialmente efectivas.
- Urgencia artificial. "Su cuenta sera bloqueada en 24 horas", "Actividad sospechosa detectada", "Factura vencida". La presion temporal reduce la capacidad critica de la victima.
- Landing pages clonadas. Replicas pixel-perfect de paginas de login con certificados SSL validos (Let's Encrypt). El candado verde ya no indica legitimidad, solo cifrado.
Tasas de exito tipicas: 3-5% en campanas sin personalizacion. Tras formacion de awareness, baja a 1-2%. Nunca llega a cero.
Spear phishing
La diferencia con el phishing masivo es la investigacion previa. El atacante selecciona una victima especifica, recopila informacion de LinkedIn, redes sociales, web corporativa y filtraciones publicas, y construye un email hecho a medida.
Un spear phishing bien ejecutado incluye:
- Nombre completo del destinatario y su cargo
- Referencia a un proyecto real, un evento reciente o un contacto comun
- Remitente que suplanta a un colega, proveedor o cliente conocido
- Un pretexto coherente con el contexto profesional de la victima
El caso RSA (2011) es el ejemplo canonico: un email con asunto "2011 Recruitment Plan" y un archivo Excel adjunto ("2011 Recruitment plan.xls") fue enviado a un grupo reducido de empleados. El Excel contenia un exploit de Flash (CVE-2011-0609) que instalo un backdoor Poison Ivy. Con eso, los atacantes extrajeron los seeds de SecurID, comprometiendo la seguridad de miles de organizaciones que dependian de tokens RSA para su autenticacion.
Tasa de exito: 20-30% segun multiples estudios. Algunas campanas APT reportan tasas superiores al 50%.
Whaling
El whaling es spear phishing dirigido exclusivamente a ejecutivos de alto nivel: CEOs, CFOs, directores generales y miembros de consejo. El termino viene de "whale" (ballena): objetivos de alto valor.
Las campanas de whaling suelen tener dos variantes:
-
Suplantacion del CEO (CEO fraud). El atacante se hace pasar por el CEO y envia un email al CFO o al departamento financiero pidiendo una transferencia urgente. "Estoy en una reunion, necesito que proceses esta transferencia antes de las 5. Es confidencial, no comentes con nadie." La combinacion de autoridad, urgencia y confidencialidad es devastadora.
-
Targeting del CEO. El CEO recibe un email que parece provenir de un regulador, un bufete de abogados o un socio de negocio. El pretexto suele involucrar litigios, auditorias o informacion financiera sensible.
Perdidas tipicas: entre 100.000 y 50 millones de dolares por incidente. El FBI incluye el whaling dentro de la categoria BEC (Business Email Compromise), que acumulo 2.900 millones de dolares en perdidas reportadas solo en 2023.
Vishing: phishing por voz
El vishing (voice + phishing) usa llamadas telefonicas o VoIP para manipular a la victima. El atacante suplanta al banco, a soporte tecnico, a Hacienda o a un proveedor de servicios.
Tecnicas clave:
- Caller ID spoofing. El identificador de llamada muestra el numero real del banco o la empresa. Servicios VoIP permiten configurar cualquier numero como origen.
- Deepfake de voz (2024-2026). Herramientas como VALL-E, Bark y RVC pueden clonar una voz con 3-10 segundos de audio de referencia. En febrero de 2024, un empleado de la multinacional Arup (Hong Kong) transfrio 25,6 millones de dolares despues de una videoconferencia con deepfakes del CFO y otros directivos.
- IVR phishing. Sistemas de respuesta de voz interactiva (IVR) falsos que piden "verificar su identidad" introduciendo numero de tarjeta y PIN.
El vishing es especialmente efectivo contra personas mayores y en contextos donde la victima no puede verificar visualmente la identidad del interlocutor. El crecimiento es exponencial: Hiya reporto un incremento del 120% en llamadas de vishing entre 2023 y 2025.
Smishing: phishing por SMS
El smishing (SMS + phishing) explota la inmediatez y la confianza implicita en los mensajes de texto. Los SMS no tienen mecanismos nativos de autenticacion de remitente equivalentes a SPF/DKIM/DMARC del email.
Campanas tipicas en Espana:
- Paqueteria. "Correos: su paquete esta pendiente de entrega. Confirme direccion: [enlace]." Funciona porque el e-commerce genera un flujo constante de envios reales.
- Bancarias. "BBVA: se ha detectado un acceso no autorizado. Verifique su identidad: [enlace]." El enlace lleva a una pagina clonada del banco que captura credenciales y codigos OTP en tiempo real (adversary-in-the-middle).
- Administracion publica. "Agencia Tributaria: tiene una devolucion pendiente de 389,50 EUR. Acceda aqui: [enlace]."
La tasa de apertura de SMS supera el 98% (frente al 20% del email), lo que convierte al smishing en un vector con un alcance brutal. En 2024, FluBot y sus variantes demostraron que el smishing puede distribuir malware Android a escala masiva.
Quishing: el QR como vector de ataque
El quishing (QR + phishing) es la variante de crecimiento mas rapido desde 2023. Explota un hecho simple: las personas escanean codigos QR sin cuestionar su destino.
Vectores de ataque:
- Pegatinas sobre QR legitimos. El atacante pega un QR malicioso encima del QR real en parquimetros, cartas de restaurantes, carteles publicitarios o buzoneo postal.
- QR en emails. Bypass de filtros de email: los escáneres de URLs no analizan imagenes QR embebidas. El email llega limpio, y el QR redirige al phishing.
- QR en documentos fisicos. Facturas, cartas de bancos o comunicaciones oficiales falsas con un QR que lleva a una pagina de pago fraudulenta.
HP Wolf Security reporto un incremento del 587% en ataques de quishing entre Q3 2023 y Q1 2024. Microsoft, SharePoint y OneNote son las marcas mas suplantadas en campanas de quishing corporativo.
Lo que hace peligroso al quishing es la transicion de dispositivo: el usuario escanea con el movil (fuera del perimetro corporativo, sin EDR, sin proxy) y aterriza en una pagina de phishing sin las protecciones de su entorno de trabajo.
Pharming y watering hole
Estas dos variantes no dependen de engañar a la victima para que haga clic. Manipulan la infraestructura para que la victima llegue al phishing de forma "natural".
Pharming. El atacante modifica la resolucion DNS para que un dominio legitimo (por ejemplo, banco.es) apunte a la IP del servidor del atacante. Se consigue mediante:
- DNS cache poisoning en resolvers vulnerables
- Compromiso del router domestico (cambio de DNS via CSRF o credenciales por defecto)
- Modificacion del archivo hosts local via malware
El pharming es invisible para la victima: escribe la URL correcta en el navegador y llega a una pagina falsa con la URL correcta en la barra de direcciones.
Watering hole. El atacante identifica sitios web que sus objetivos visitan habitualmente (blogs del sector, foros tecnicos, portales de proveedores) y compromete esos sitios para inyectar codigo malicioso. Cuando el objetivo visita el sitio, se ejecuta el exploit de forma automatica (drive-by download). APT grupos como Lazarus (G0032) y APT29 (G0016) usan watering hole como alternativa al spear phishing cuando los targets tienen buenas defensas de email.
Estadisticas 2024-2026
Los numeros confirman que el phishing no solo persiste, sino que se intensifica:
| Metrica | Valor | Fuente |
|---|---|---|
| Ataques phishing registrados 2023 | 4.7M+ | APWG Trends Report |
| Brechas con factor humano (phishing/pretexting) | 68% | Verizon DBIR 2024 |
| Perdidas BEC reportadas en 2023 | 2.900M USD | FBI IC3 |
| Tiempo medio para hacer clic en phishing | 21 segundos | Verizon DBIR 2024 |
| Tiempo medio para enviar credenciales | 28 segundos | Verizon DBIR 2024 |
| Crecimiento quishing Q3 2023 a Q1 2024 | +587% | HP Wolf Security |
| Crecimiento vishing 2023-2025 | +120% | Hiya State of the Call |
| Coste medio de una brecha por phishing | 4.76M USD | IBM Cost of a Data Breach 2024 |
| Emails de phishing que evaden filtros | ~25% | Cofense Phishing Intelligence |
| Sector mas atacado por phishing | Financiero (23%) | APWG 2024 |
Un dato del DBIR 2024 especialmente revelador: el tiempo medio entre la recepcion de un email de phishing y el clic del usuario es de 21 segundos. Y desde el clic hasta que la victima introduce sus credenciales pasan solo 28 segundos adicionales. Menos de un minuto separa la recepcion del compromiso.
Anatomia comun: que comparten todas las variantes
A pesar de las diferencias en canal y targeting, todas las variantes de phishing comparten una estructura comun:
-
Suplantacion de identidad. El atacante se hace pasar por una entidad de confianza. Puede ser visual (logo, colores, formato), tecnica (spoofing de remitente, caller ID) o contextual (referencia a interacciones reales).
-
Pretexto con urgencia o autoridad. La victima debe actuar rapido: su cuenta sera bloqueada, hay un pago pendiente, el CEO necesita algo ahora. La urgencia anula el pensamiento critico.
-
Accion de compromiso. Hacer clic en un enlace, abrir un adjunto, escanear un QR, dictar un codigo OTP por telefono o ejecutar un comando. Siempre hay una accion que la victima debe realizar.
-
Captura o ejecucion. La accion lleva a una pagina de credential harvesting, descarga malware, o entrega informacion directamente al atacante por voz.
-
Exfiltracion y uso. Las credenciales se usan inmediatamente (ataques en tiempo real con relay proxies como Evilginx2) o se venden en mercados underground. El tiempo entre captura y uso se ha reducido de dias a minutos.
Evolucion con IA generativa
La IA generativa ha cambiado tres aspectos fundamentales del phishing:
Calidad lingüistica. Los LLMs generan textos sin errores gramaticales en cualquier idioma. Se acabaron los phishing con faltas de ortografia evidentes que servian como indicador de deteccion. Un email generado por GPT-4 o Claude es indistinguible de uno escrito por un nativo.
Personalizacion a escala. Antes, personalizar emails requeria investigacion manual por cada objetivo. Ahora, un atacante puede alimentar un LLM con datos publicos de LinkedIn y generar cientos de emails personalizados en minutos. Cada email menciona el cargo real, proyectos recientes, conexiones comunes y jerga del sector.
Deepfakes multimodales. La IA no solo genera texto. Clona voces (vishing con deepfake), genera videos (videollamadas falsas como el caso Arup) y crea imagenes de personas que no existen (perfiles falsos en LinkedIn para angler phishing). La convergencia de texto, voz y video hace que la verificacion de identidad sea cada vez mas dificil.
Las defensas tradicionales (filtros de email basados en patrones, formacion para detectar errores gramaticales) pierden efectividad. La nueva generacion de defensas necesita analisis comportamental, verificacion fuera de banda y arquitecturas zero-trust que asuman que cualquier comunicacion puede ser fraudulenta.
Recursos y referencias
Fuentes de datos y reportes
- APWG Phishing Activity Trends Reports (trimestral, gratuito)
- Verizon DBIR (anual, la referencia del sector)
- FBI IC3 Internet Crime Report (estadisticas de perdidas BEC/phishing en USA)
- HP Wolf Security Threat Insights Report (quishing y amenazas emergentes)
- IBM Cost of a Data Breach Report (impacto financiero)
- Cofense Phishing Intelligence (evasion de filtros, campanas activas)
- Hiya State of the Call (tendencias vishing y robocalls)
Frameworks y estandares
- MITRE ATT&CK: Phishing (T1566) y subtecnicas (.001 Attachment, .002 Link, .003 Spear via Service, .004 via Voice)
- NIST SP 800-177: Trustworthy Email (SPF, DKIM, DMARC)
- CISA Phishing Guidance (recomendaciones federales USA)
En MalwareIntel
- Anatomia de un email de phishing: diseccion tecnica de headers, payloads y evasion
- Vishing con deepfake e IA: clonacion de voz, casos reales y deteccion
- Quishing: QR code phishing: vectores, kits y contramedidas
- Dashboard IOC de MalwareIntel: busca indicadores de phishing (URLs, dominios, IPs de C2) en nuestra base de datos
Preguntas frecuentes
Artículos relacionados
Anatomía de un Email de Phishing: Headers, SPF, DKIM, DMARC y Red Flags
Vishing y Deepfake de Voz: Ataques Telefónicos Potenciados por IA
Quishing: Ataques de Phishing via QR Code y Campañas Documentadas
Scattered Spider: Social Engineering, SIM Swapping y Ransomware-as-a-Service
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.